{"id":1370681,"date":"2024-09-21T17:24:21","date_gmt":"2024-09-21T17:24:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-hacktivista-twelve-ataca-a-entidades-rusas-con-ciberataques-destructivos\/"},"modified":"2024-09-21T17:24:26","modified_gmt":"2024-09-21T17:24:26","slug":"el-grupo-hacktivista-twelve-ataca-a-entidades-rusas-con-ciberataques-destructivos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-hacktivista-twelve-ataca-a-entidades-rusas-con-ciberataques-destructivos\/","title":{"rendered":"El grupo hacktivista Twelve ataca a entidades rusas con ciberataques destructivos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-grupo-hacktivista-Twelve-ataca-a-entidades-rusas-con-ciberataques.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que un grupo hacktivista conocido como Twelve utiliza un arsenal de herramientas disponibles p\u00fablicamente para llevar a cabo ataques cibern\u00e9ticos destructivos contra objetivos rusos.<\/p>\n<p>&#8220;En lugar de exigir un rescate para descifrar los datos, Twelve prefiere cifrar los datos de las v\u00edctimas y luego destruir su infraestructura con un limpiador para evitar su recuperaci\u00f3n&#8221;, afirma Kaspersky. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/twelve-group-unified-kill-chain\/113877\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del viernes.<\/p>\n<p>&#8220;Este enfoque es indicativo de un deseo de causar el m\u00e1ximo da\u00f1o a las organizaciones objetivo sin obtener un beneficio financiero directo&#8221;.<\/p>\n<p>El grupo de piratas inform\u00e1ticos, que se cree se form\u00f3 en abril de 2023 tras el inicio de la guerra entre Rusia y Ucrania, tiene antecedentes de montar ciberataques que tienen como objetivo paralizar las redes de las v\u00edctimas e interrumpir las operaciones comerciales.<\/p>\n<p>Tambi\u00e9n se ha observado que realiza operaciones de pirater\u00eda y filtraci\u00f3n que extraen informaci\u00f3n confidencial, que luego se comparte en su canal de Telegram.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-executive\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726470741_359_Los-cibercriminales-aprovechan-los-encabezados-HTTP-para-robar-credenciales-mediante.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Kaspersky dijo que Twelve comparte superposiciones t\u00e1cticas y de infraestructura con un grupo de ransomware llamado <a rel=\"nofollow noopener\" href=\"https:\/\/www.anti-malware.ru\/news\/2024-02-02-114534\/42735\" target=\"_blank\">ESTRELLA OSCURA<\/a> (tambi\u00e9n conocido como COMET o Shadow), lo que aumenta la posibilidad de que los dos conjuntos de intrusiones est\u00e9n relacionados entre s\u00ed o sean parte del mismo grupo de actividad.<\/p>\n<p>&#8220;Al mismo tiempo, mientras que las acciones de Twelve son claramente de naturaleza hacktivista, DARKSTAR se ci\u00f1e al cl\u00e1sico patr\u00f3n de doble extorsi\u00f3n&#8221;, afirm\u00f3 el proveedor ruso de ciberseguridad. &#8220;Esta variaci\u00f3n de objetivos dentro del sindicato subraya la complejidad y diversidad de las ciberamenazas modernas&#8221;.<\/p>\n<p>Las cadenas de ataque comienzan con la obtenci\u00f3n de acceso inicial mediante el uso indebido de cuentas locales o de dominio v\u00e1lidas, tras lo cual se utiliza el Protocolo de escritorio remoto (RDP) para facilitar el movimiento lateral. Algunos de estos ataques tambi\u00e9n se llevan a cabo a trav\u00e9s de los contratistas de la v\u00edctima.<\/p>\n<p>&#8220;Para ello, obtuvieron acceso a la infraestructura del contratista y luego utilizaron su certificado para conectarse a la VPN de su cliente&#8221;, se\u00f1al\u00f3 Kaspersky. &#8220;Una vez obtenido el acceso, el adversario puede conectarse a los sistemas del cliente a trav\u00e9s del Protocolo de escritorio remoto (RDP) y luego penetrar en la infraestructura del cliente&#8221;.<\/p>\n<p>Entre las herramientas utilizadas por Twelve se destacan Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner y PsExec para el robo de credenciales, el descubrimiento, el mapeo de redes y la escalada de privilegios. Las conexiones RDP maliciosas al sistema se canalizan a trav\u00e9s de ngrok.<\/p>\n<p>Tambi\u00e9n se han implementado shells web PHP con capacidades para ejecutar comandos arbitrarios, mover archivos o enviar correos electr\u00f3nicos. <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/stefanpejcic\/wordpress-malware\" target=\"_blank\">programas<\/a>como el <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/tennc\/webshell\/blob\/master\/php\/wso\/wso2.php\" target=\"_blank\">Shell web de WSO<\/a>est\u00e1n f\u00e1cilmente disponibles en GitHub.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726939460_486_El-grupo-hacktivista-Twelve-ataca-a-entidades-rusas-con-ciberataques.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726939460_486_El-grupo-hacktivista-Twelve-ataca-a-entidades-rusas-con-ciberataques.png\" alt=\"\" border=\"0\" data-original-height=\"588\" data-original-width=\"728\"\/><\/a><\/div>\n<p>En un incidente investigado por Kaspersky, se dice que los actores de la amenaza explotaron vulnerabilidades de seguridad conocidas (por ejemplo, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-21972\" target=\"_blank\">CVE-2021-21972<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-22005\" target=\"_blank\">CVE-2021-22005<\/a>) en VMware vCenter para entregar una <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/NS-Sp4ce\/CVE-2021-21972\/tree\/main\/payload\/Linux\" target=\"_blank\">Concha web<\/a> que luego se utiliz\u00f3 para colocar una puerta trasera llamada FaceFish.<\/p>\n<p>&#8220;Para hacerse un hueco en la infraestructura del dominio, el adversario utiliz\u00f3 PowerShell para a\u00f1adir usuarios y grupos del dominio y modificar las listas de control de acceso (ACL) de los objetos de Active Directory&#8221;, afirm\u00f3. &#8220;Para evitar ser detectados, los atacantes disfrazaron su malware y sus tareas bajo los nombres de productos o servicios existentes&#8221;.<\/p>\n<p>Algunos de los nombres utilizados incluyen &#8220;Actualizar Microsoft&#8221;, &#8220;Yandex&#8221;, &#8220;YandexUpdate&#8221; e &#8220;intel.exe&#8221;.<\/p>\n<p>Los ataques tambi\u00e9n se caracterizan por el uso de un script de PowerShell (&#8220;Sophos_kill_local.ps1&#8221;) para finalizar procesos relacionados con el software de seguridad de Sophos en el host comprometido.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Las etapas finales implican el uso del Programador de tareas de Windows para ejecutar ransomware y cargas \u00fatiles de borrado, pero no antes de recopilar y exfiltrar informaci\u00f3n confidencial sobre sus v\u00edctimas a trav\u00e9s de un servicio de intercambio de archivos llamado DropMeFiles en forma de archivos ZIP.<\/p>\n<p>&#8220;Los atacantes utilizaron una versi\u00f3n del popular ransomware LockBit 3.0, compilado a partir de un c\u00f3digo fuente disponible p\u00fablicamente, para cifrar los datos&#8221;, afirmaron los investigadores de Kaspersky. &#8220;Antes de comenzar a trabajar, el ransomware finaliza los procesos que pueden interferir con el cifrado de archivos individuales&#8221;.<\/p>\n<p>El limpiador, id\u00e9ntico al malware Shamoon, reescribe el registro de arranque maestro (MBR) en las unidades conectadas y sobrescribe todo el contenido de los archivos con bytes generados aleatoriamente, lo que impide eficazmente la recuperaci\u00f3n del sistema.<\/p>\n<p>&#8220;El grupo se limita a utilizar un arsenal de herramientas de malware conocido y de acceso p\u00fablico, lo que sugiere que no fabrica ninguna propia&#8221;, se\u00f1al\u00f3 Kaspersky. &#8220;Esto permite detectar y prevenir los ataques de Twelve a tiempo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/hacktivist-group-twelve-targets-russian.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que un grupo hacktivista conocido como Twelve utiliza un arsenal de herramientas disponibles p\u00fablicamente para<\/p>\n","protected":false},"author":1,"featured_media":1370682,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,12394,4664,99,155798,32556,2386,108461,4667,239182,4654,239508,4658,4659,4653,1351,246983,4665,246984,57279,246982,239484],"class_list":["post-1370681","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-ciberataques","tag-como-hackear","tag-con","tag-destructivos","tag-entidades","tag-grupo","tag-hacktivista","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-rusas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-twelve","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1370681","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1370681"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1370681\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1370682"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1370681"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1370681"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1370681"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}